Você está na página 1de 2

Les ACL Cisco

Recommandations Cisco pour les ACL


Les rgles de base suivantes doivent tre respectes lors de la cration et de lapplication des
listes daccs :

Une liste daccs par direction et par protocole.


Les listes daccs standard doivent tre appliques le plus prs possible de la
destination.
Les listes daccs tendues doivent tre appliques le plus prs possible de la source.
Pour faire rfrence une interface dentre ou de sortie, placez-vous lintrieur du
routeur en regardant l'interface en question.
Les instructions sont traites dans lordre depuis le dbut de la liste jusqu la fin jusqu
ce quune correspondance soit trouve. Si aucune correspondance nest dtecte, le
paquet est refus.
Il existe un refus implicite deny any la fin de toutes les listes de contrle daccs. Cela
napparat pas dans la liste de configuration.
Les entres de la liste daccs doivent filtrer les paquets dans lordre, du plus spcifique
au plus gnral. Les htes spcifiques doivent tre rejets en premier, tandis que les
groupes ou les filtres gnraux viennent en dernier.
La condition de correspondance est examine en premier. Lacceptation ou le refus est
examin UNIQUEMENT si la condition est vraie.
Ne travaillez jamais avec une liste daccs qui est applique de manire active.
Utilisez un diteur de texte pour crer des commentaires indiquant la logique, puis
ajoutez les instructions correspondantes.
Les nouvelles lignes sont toujours ajoutes la fin de la liste de contrle daccs. La
commande no access-listx supprime toute la liste. Il nest pas possible dajouter et de
supprimer des lignes spcifiques dans des listes daccs numrotes.
Une liste daccs IP envoie un message ICMP dhte inaccessible lmetteur du paquet
rejet et limine le paquet dans la corbeille prvue cet effet.
Soyez particulirement attentif lorsque vous supprimez une liste daccs. Si la liste
daccs est applique une interface de production et que vous la supprimez, selon la
version de lIOS, une instruction deny any peut tre applique par dfaut linterface et
tout le trafic peut tre arrt.
Les filtres de sortie ne concernent pas le trafic gnr par le routeur local.

Dernires modifications le 30/03/11


- Page 1 -

Les ACL Cisco

Exemples d'ACL simples :


Access-list

<n>

<permit ou deny>

host <adr-hte>
ou <adresse-rseau> <masque-gnrique>

L'ACL suivante interdit les requtes provenant de l'hte 192.168.0.1


Access-list 10 deny host 192.168.0.1
L'ACL suivante interdit les requtes provenant du rseau 192.168.0.0
Access-list 10 permit 192.168.0.0 0.0.0.255
On applique l'ACL 10 la sortie de l'interface FastEthernet 0/0
interface f0/0
ip access-group 10 out

Exemples d'ACL tendues :


access-list

<n>

permit ou deny
<ip, icmp, tcp, udp>
<ip-source>
<gt ou lt ou eq (plus grand, plus petit ou gal )> <nport>
<ip-destination>
<gt ou lt ou eq (plus grand, plus petit ou gal )> <nport>

L'ACL suivante permet au clients du rseau 192.168.0.0/24 d'aller visiter le serveur Web :
access-list 101 permit tcp 192.168.0.0 0.0.0.255 gt 1023
host 192.168.1.1 eq 80
Permettre les requtes ICMP du rseau 172.16.0.0 au 172.17.0.0
access-list 101 permit icmp 172.16.0.0 0.0.0.255 172.17.0.0 0.0.0.255
On applique l'ACL 101 l'entr de l'interface FastEthernet 0/0
interface f0/0
ip access-group 101 in

Exemples d'ACL nommes :


ip

access-list
extended
<nom>
permit <ip, icmp, tcp, udp> <ip-source> <gt,lt,eq> <nport> <ip-dest> <gt,lt,eq> <nport>

L'ACL suivante permet au clients du rseau 192.168.0.0/24 d'aller visiter le serveur Web et DNS :
ip access-list extended monacl
permit tcp 192.168.0.0 0.0.0.255 gt 1023 host 192.168.1.1 eq 80
permit udp 192.168.0.0 0.0.0.255 gt 1023 host 192.168.2.1 eq 53
On applique l'ACL monacl l'entr de l'interface FastEthernet 0/0
interface f0/0
ip access-group monacl in

Dernires modifications le 30/03/11


- Page 2 -